Dns系統以及dns攻擊的防禦方法和防禦裝置製造方法

2023-06-21 01:52:31

Dns系統以及dns攻擊的防禦方法和防禦裝置製造方法
【專利摘要】本發明提供了一種DNS系統以及DNS攻擊的防禦方法和防禦裝置。其中該防禦方法包括：獲取DNS查詢請求以及DNS查詢請求的請求源的IP位址；按照IP位址在訪問記錄資料庫中查詢得出請求源在的請求記錄信息；判斷請求記錄信息中預定周期內的請求次數是否超出了預設閾值；若是，判定請求源進行DNS攻擊，並進行防禦。由於對每個請求源的IP位址進行判斷，不會影響其他請求源的正常訪問，實現了精確的攻擊防禦。
【專利說明】DNS系統以及DNS攻擊的防禦方法和防禦裝置
【技術領域】
[0001]本發明涉及計算機安全【技術領域】，特別是涉及DNS系統以及DNS攻擊的防禦方法和防禦裝置。
【背景技術】
[0002]域名系統(Domain Name System,簡稱DNS)是網際網路(Internet)的一項核心服務，有著極其重要的地位，其作為可以將域名和IP位址相互映射的一個分布式資料庫，能夠使人更方便的訪問網際網路，而不用去記住能夠被機器直接讀取的IP數串。
[0003]域名系統作為一個基礎性的網際網路協議，相對於目前防範措施比較完善的各種WEB服務，基於DNS的防範依然很弱，易被黑客利用攻擊。DNS攻擊時一種新型的拒絕服務攻擊(Denial of Service,簡稱 Dos 攻擊)。
[0004]DNS自身的特性決定了它可以被利用作為「攻擊放大器」進行分布式拒絕服務攻擊。一是DNS協議自身的弱點導致查詢請求報文和查詢應答報文均可被偽造，網絡攻擊者可以通過虛假的源地址偽造成被攻擊主機向DNS伺服器發送DNS查詢請求，同時還可以隱藏攻擊者的身份；二是DNS伺服器對DNS查詢請求時「有求必應」，並且無法判斷一個DNS查詢請求是否為惡意攻擊；三是DNS伺服器解析域名時，應答報文比查詢報文要大，可以實現放大攻擊的效果。
[0005]例如，在早期針對DNS伺服器的攻擊行為中，攻擊者能夠向DNS伺服器發出60個字節的查詢信息，收到512個字節的回應信息，使通訊量放大8.5倍。隨著對DNS協議的深入研究，攻擊者發現利用具有遞歸查詢功能的DNS伺服器可以把DNS回應數據放大到66倍。如果數以萬計的計算機，偽裝成被攻擊主機同時向DNS伺服器連續發送大量的DNS請求數據包，由DNS伺服器返回的應答數據量成倍放大，甚至能夠超過每秒鐘100GB，這對被攻擊主機來說是致命的攻擊行為。
[0006]DNS攻擊的一個明顯特徵是偽造成被攻擊者的IP發送大量的請求數據包，迫使其回應，達到放大效果。
[0007]現有技術中針對DNS攻擊採取的方法是利用防火牆限制IP位址的請求量，例如控制某IP段內通過的DNS請求包限制在300個以內每秒，大於這個的請求認為可能是攻擊，直接丟棄。採取這樣的限制措施，需要對IP位址段設置對應的限制閾值。但是通常DNS伺服器的服務的是全球的所有IP。特別是授權DNS伺服器的服務對象是全球的本地遞歸伺服器。這些本地遞歸伺服器IP不可能預先知道。因此無法把全球所有的IP逐一進行配置。
[0008]當然也可以將IP段設置成較大的地址段進行限制，也就是限制該段的請求總量，這樣會造成大量的誤攔，無法做到精確對DNS攻擊進行防禦。
[0009]現有技術中的另一種防禦方法為:存在發生攻擊時，查找攻擊源的IP位址，再將該IP位址的限速策略設置到防火牆配置，這種方式的實時性差，無法實現實時防禦。

【發明內容】
[0010]鑑於上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的DNS系統、DNS攻擊的防禦裝置和相應的DNS攻擊的防禦方法。
[0011]本發明一個進一步的目的是要使得精確對DNS攻擊進行防禦。
[0012]本發明另一個進一步的目的是要提高防禦DNS攻擊的實時性，不降低服務的性能和效率。
[0013]依據本發明的一個方面，提供了一種DNS攻擊的防禦方法。該防禦方法包括:獲取DNS查詢請求以及DNS查詢請求的請求源的IP位址；按照IP位址在訪問記錄資料庫中查詢得出請求源的請求記錄信息；判斷請求記錄信息中在預定周期內的請求次數是否超出了預設閾值；若是，判定請求源進行DNS攻擊，並進行防禦。
[0014]可選地，獲取DNS查詢請求包括:在作業系統的防火牆框架內註冊鉤子函數；利用鉤子函數捕捉DNS查詢請求。
[0015]可選地，在獲取DNS查詢請求之後還包括:分別判斷DNS查詢請求的數據包數據格式是否符合預定協議，以及DNS查詢請求的目的埠是否為預定埠 ；若均為是，執行查詢請求記錄信息的步驟。
[0016]可選地，按照IP位址在訪問記錄資料庫中查詢得出請求源在預定周期內的請求記錄信息包括:按照IP位址中前三段的數值，在訪問記錄資料庫的第一索引表中查找對應的存儲指針，其中第一索引表中存儲有多個IP位址段分別對應的第二索引表的存儲指針；按照IP位址中前三段的數值對應的存儲指針讀取對應的第二索引表，第二索引表中存儲有一個IP位址段中多個IP位址的請求記錄信息；按照IP位址的第四段的數值，在IP位址中前三段的數值對應的第二索引表中查找IP位址對應的請求記錄信息。
[0017]可選地，在第一索引表中，索引值為IP位址的前三段數值的哈希值，索引項為IP位址段對應的第二索引表的存儲指針，在訪問記錄資料庫的第一索弓I表中查找對應的存儲指針包括:計算IP位址中的前三段的數值的哈希值；將哈希值作為索引值在第一索引表中查找對應的存儲指針。
[0018]可選地，按照IP位址中前三段的數值，在訪問記錄資料庫的第一索引表中查找對應的存儲指針之後還包括:判斷存儲指針是否為空；若是，為IP位址所在的IP位址段分配存儲空間，並在存儲空間內建立包含多個結構體的數組作為第二索引表，並保存存儲空間的存儲指針；若否，執行按照存儲指針讀取對應的第二索引表的步驟。
[0019]可選地，按照IP位址的第四段的數值，在IP位址中前三段的數值對應的第二索引表中查找IP位址對應的請求記錄信息之後還包括:判斷第二索引表中是否包含IP位址對應的請求記錄信息；若否，在第二索引表中分配IP位址的存儲空間，並將DNS查詢請求的信息保存為請求記錄信息；若是，在IP位址對應的請求記錄信息中添加DNS查詢請求的信息，以對請求記錄信息進行更新。
[0020]可選地，在判斷第二索引表中是否包含IP位址對應的請求記錄信息之後還包括:掃描第二索引表中的請求記錄信息，並刪除預訂時間內持續未更新的請求記錄信息。
[0021]可選地，在判定請求源進行DNS攻擊之後還包括:向所述請求源的客戶端返回DNS請求異常的信息，以便所述客戶端進行提示或處理。。
[0022]根據本發明的另一個方面，還提供了一種DNS攻擊的防禦裝置，包括:請求獲取模塊，用於獲取DNS查詢請求以及DNS查詢請求的請求源的IP位址；請求記錄信息查詢模塊，用於按照IP位址在訪問記錄資料庫中查詢得出請求源的請求記錄信息；攻擊判斷模塊，用於判斷請求記錄信息記錄中在預定周期內的請求次數是否超出了預設閾值；防禦模塊，用於在攻擊判斷模塊的判斷結果為是的情況下，攔截DNS查詢請求。
[0023]可選地，上述防禦裝置還包括:函數註冊模塊，用於在作業系統的防火牆框架內註冊鉤子函數；請求獲取模塊還被配置為:利用鉤子函數捕捉DNS查詢請求。
[0024]可選地，上述防禦裝置還包括:DNS查詢請求包判斷模塊，用於分別判斷DNS查詢請求的數據包數據格式是否符合預定協議，以及DNS查詢請求的目的埠是否為預定埠 ；請求記錄信息查詢模塊還被配置為:如果DNS查詢請求包判斷模塊的判斷結果均為是，執行查詢請求記錄信息的步驟。
[0025]可選地，請求記錄信息查詢模塊包括:第一索引表查詢子模塊，用於按照IP位址中前三段的數值在訪問記錄資料庫的第一索引表中查找對應的存儲指針，其中第一索引表中存儲有多個IP位址段分別對應的第二索引表的存儲指針；第二索引表查詢子模塊，用於按照IP位址中前三段的數值對應的存儲指針讀取對應的第二索引表，並按照IP位址的第四段的數值在IP位址中前三段的數值對應的第二索引表中查找IP位址對應的請求記錄信息，第二索引表中存儲有一個IP位址段中多個IP位址的請求記錄信息。
[0026]可選地，上述防禦裝置還包括:第一索引表更新模塊，用於判斷第一索引表查詢子模塊查詢出的存儲指針是否為空；若是，為IP位址所在的IP位址段分配存儲空間，並在存儲空間內建立包含多個結構體的數組作為第二索引表，並保存存儲空間的存儲指針。
[0027]可選地，上述防禦裝置還包括:第二索引表更新模塊，用於判斷第二索引表中是否包含IP位址對應的請求記錄信息；若否，在第二索引表中分配IP位址的存儲空間，並將DNS查詢請求的信息保存為請求記錄信息；若是，在IP位址對應的請求記錄信息中添加DNS查詢請求的信息，以對請求記錄信息進行更新。
[0028]可選地，上述防禦裝置還包括:資源回收模塊，用於掃描第二索引表中的請求記錄信息，並刪除預訂時間內持續未更新的請求記錄信息。
[0029]可選地，上述防禦裝置還包括:攻擊提示模塊，用於向請求源的客戶端返回DNS請求異常的信息，以便客戶端進行提示或處理。。
[0030]根據本發明的另一個方面，還提供了一種DNS系統。該DNS系統包括:至少一臺DNS安全伺服器，用於根據用戶請求進行域名解析，DNS安全伺服器中設置有根據上述的任一種DNS攻擊的防禦裝置。。
[0031]可選地，上述DNS系統還包括:用戶客戶端，配置為接收DNS攻擊的防禦裝置下發的DNS請求異常的信息，並在安全建議顯示區域輸出提示信息和/或將DNS伺服器地址修改為預設的安全地址。
[0032]本發明的DNS攻擊的防禦方法在接收到DNS查詢請求後，實時在訪問記錄資料庫中查找對應的請求記錄信息，對該請求源的預定周期內的訪問次數進行判斷，對於超出訪問次數的請求源進行訪問限制。由於對每個請求源的IP位址進行判斷，不會影響其他請求源的正常訪問，實現了精確的攻擊防禦。
[0033]進一步地，本發明優化了 IP位址對應請求記錄信息的查詢方法，採用兩級索引表的查詢方式，實時性好，不影響伺服器正常工作的性能和效率。
[0034]上述說明僅是本發明技術方案的概述，為了能夠更清楚了解本發明的技術手段，而可依照說明書的內容予以實施，並且為了讓本發明的上述和其它目的、特徵和優點能夠更明顯易懂，以下特舉本發明的【具體實施方式】。
[0035]根據下文結合附圖對本發明具體實施例的詳細描述，本領域技術人員將會更加明了本發明的上述以及其他目的、優點和特徵。
【專利附圖】

【附圖說明】
[0036]通過閱讀下文優選實施方式的詳細描述，各種其他的優點和益處對於本領域普通技術人員將變得清楚明了。附圖僅用於示出優選實施方式的目的，而並不認為是對本發明的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中:
[0037]圖1是根據本發明一個實施例的DNS攻擊的防禦裝置的示意框圖；
[0038]圖2是根據本發明一個實施例的DNS攻擊的防禦方法的示意圖；
[0039]圖3是根據本發明一個實施例的DNS攻擊的防禦方法中二級索引結構的示意圖；
[0040]圖4是根據本發明一個實施例的DNS攻擊的防禦方法的一種流程圖；以及
[0041]圖5是根據本發明一個實施例的DNS系統的系統架構圖。
【具體實施方式】
[0042]在此提供的算法和顯示不與任何特定計算機、虛擬系統或者其它設備固有相關。各種通用系統也可以與基於在此的示教一起使用。根據上面的描述，構造這類系統所要求的結構是顯而易見的。此外，本發明也不針對任何特定程式語言。應當明白，可以利用各種程式語言實現在此描述的本發明的內容，並且上面對特定語言所做的描述是為了披露本發明的最佳實施方式。
[0043]圖1是根據本發明一個實施例的DNS攻擊的防禦裝置的示意框圖。該DNS攻擊的防禦裝置100 —般性地可包括:請求獲取模塊110、請求記錄信息查詢模塊120、攻擊判斷模塊130、防禦模塊140。在本發明的一些可選實施例中，根據DNS攻擊的防禦裝置100的功能需求和進一步優化，可選擇性地配置有:第一索引表更新模塊151、第二索引表更新模塊152、資源回收模塊170、DNS查詢請求包判斷模塊180、函數註冊模塊190、攻擊提示模塊160，其中請求記錄信息查詢模塊120可以包括:第一索引表查詢子模塊121和第二索引表查詢子模塊122。
[0044]在以上模塊中，請求獲取模塊110用於獲取DNS查詢請求以及DNS查詢請求的請求源的IP位址；請求記錄信息查詢模塊120，用於按照IP位址在訪問記錄資料庫中查詢得出請求源在預定周期內的請求記錄信息；攻擊判斷模塊130，用於判斷請求記錄信息記錄中的請求次數是否超出了預設閾值；防禦模塊140，用於在攻擊判斷模塊130的判斷結果為是的情況下，判定請求源進行DNS攻擊，並進行防禦。
[0045]IP是英文Internet Protocol (網絡之間互連的協議)的縮寫,是為計算機網絡相互連接進行通信而設計的協議。IP位址是為了使連入Internet的計算機在通信時能夠相互識別，Internet中的每一臺主機都分配有一個唯一的32位地址,該地址稱為IP位址。本實施例中的IP位址默認為IPV4地址。IP段是指一組連續的IP位址，為了簡化配置和策略的實現，通常會將一組連續的IP位址組成一個IP段。
[0046]本實施例中的DNS攻擊的防禦裝置100根據DNS查詢請求源的IP位址利用高速緩存查找算法在訪問記錄資料庫中查找對應的請求記錄信息，對該請求源的預定周期內的訪問次數進行判斷，以確定請求源是否進行DNS攻擊。對超出訪問次數的請求源進行訪問限制，例如攔截超出訪問次數的請求源發出的DNS查詢請求，或者結合黑白名單，將請求源判為惡意請求源，歸入到伺服器端的資料庫中，對該請求源進行處理。本實施例的防禦裝置可以精確限制每秒鐘為每個IP請求的DNS服務次數，並且不會根據請求端IP的數量增加，性能下降，有效防範DNS攻擊。
[0047]其中，防禦模塊140結合黑白名單對請求源進行處理時，合法的具有動態主機配置協議(Dynamic Host Configuration Protocol,簡稱DHCP)功能的網絡連接設備的DNSIP位址發送給具有DHCP功能的網絡連接設備，具有DHCP功能的網絡連接設備將自身的DNSIP位址修改為合法的DNS IP位址。該預先設置的合法的DNS IP位址白名單列表可以預先存儲在客戶端資料庫中，也可以從網站的伺服器(例如:雲安全伺服器)上下載；如果匹配成功，則說明客戶端的DNS IP位址是惡意的，則將惡意DNS IP位址修改為合法的DNS IP位址，例如:通過修改註冊表鍵值，令其指向合法的DNS IP位址，從而達到修改註冊表中鍵值的目的；如果匹配不成功，則放行該DNS IP位址，說明可以訪問與之對應的網站。從而結合預先存儲在客戶端資料庫，對超出訪問次數的請求源進行訪問限制。
[0048]本實施例中可以使用函數註冊模塊190在作業系統的防火牆框架內註冊鉤子函數，以便請求獲取模塊110利用鉤子函數捕捉DNS查詢請求。其中鉤子函數(HookFunction)是一種處理或過濾時間的回調函數，當每次發生預定事件時，鉤子函數就可以捕捉系統中所有進程將發生的事件消息，它的作用是將消息在抵達窗口程序之前先鉤到一個地方以預先處理。
[0049]鉤子函數獲取所有的查詢數據包後，需要判斷哪些數據包是需要進行處理的數據包，只將需要數據包交由請求獲取模塊110處理，不需要處理的數據包可以直接透明傳輸交由後續模塊處理。本實施例中的DNS攻擊的防禦裝置可以通過DNS查詢請求包判斷模塊180分別判斷DNS查詢請求的數據包數據格式是否符合預定協議，以及DNS查詢請求的目的埠是否為預定埠 ；如果DNS查詢請求包判斷模塊180的判斷結果均為是，請求記錄信息查詢模塊120執行查詢請求記錄信息的步驟，如果有任一項判斷結果為否，可直接透傳數據包，不影響其他數據的傳輸。
[0050]請求記錄信息查詢模塊120可以利用第一索引表查詢子模塊121和第二索引表查詢子模塊122進行二級索引查詢，具體地，第一索引表查詢子模塊121按照IP位址中前三段的數值在訪問記錄資料庫的第一索引表中查找對應的存儲指針。第二索引表查詢子模塊122，按照IP位址中前三段的數值對應的存儲指針讀取對應的第二索引表，並按照IP位址的第四段的數值在IP位址中前三段的數值對應的第二索引表中查找IP位址對應的請求記錄信息。其中第一索引表中存儲有多個IP位址段分別對應的第二索引表的存儲指針，第二索引表中存儲有一個IP位址段中多個IP位址的請求記錄信息。
[0051]進一步地，在第一索引表中，索引值為IP位址的前三段數值的哈希值，索引項為IP位址段對應的第二索引表的存儲指針，在訪問記錄資料庫的第一索弓I表中查找對應的存儲指針包括:計算IP位址中的前三段的數值的哈希值；將哈希值作為索引值在第一索引表中查找對應的存儲指針。
[0052]在進行查詢後，還需要將本次的訪問信息添加至訪問記錄資料庫中的對應位置，進行訪問記錄信息的更新。另外，查詢中還可能出現查詢結果為空的情況，因此本發明的實施例中，第一索引表更新模塊151判斷第一索引表查詢子模塊121查詢出的存儲指針是否為空；若是，為IP位址所在的IP位址段分配存儲空間，並在存儲空間內建立包含多個結構體的數組作為第二索引表，並保存存儲空間的存儲指針。從而在出現有訪問記錄資料庫之前未記錄的IP位址段中IP位址進行DNS查詢時，在訪問記錄資料庫的第一索引表中建立該IP位址段的索引項。
[0053]第二索引表更新模塊152用於判斷第二索引表中是否包含IP位址對應的請求記錄信息；若否，在第二索引表中分配IP位址的存儲空間，並將DNS查詢請求的信息保存為請求記錄信息；若是，在IP位址對應的請求記錄信息中添加DNS查詢請求的信息，以對請求記錄信息進行更新。利用第二索引表更新模塊152可以在第二索引表中更新IP位址的請求記錄，並在第二索引表中不存在請求源的IP位址的情況下，新建該IP位址的索引項。
[0054]為了節省存儲資源，本實施例中還可以利用資源回收模塊170，用於掃描第二索引表中的請求記錄信息，並刪除預訂時間內持續未更新的請求記錄信息，例如一小時內沒有查詢請求的IP位址的索引項可以被刪除，已釋放更多空間。
[0055]在確定出攻擊後，本實施例的DNS攻擊的防禦裝置還可以向安裝有相應客戶端的請求源返回DNS請求異常的信息，以便客戶端進行提示或處理，例如在安全建議顯示區域輸出提示信息向用戶提示，或者將DNS伺服器地址修改為預設的安全地址。
[0056]利用攻擊提示模塊160向用戶的客戶端報告DNS攻擊後，客戶端在安全建議顯示區域輸出請求源的攻擊檢測結果。顯示的方式可以是在類似於安全衛士之類的網際網路軟體顯示界面中的安全隱患部分輸出，類似地，還可以通過彈出氣泡、對話框等方式顯示。通過與客戶端的安全聯動，進一步提高安全性。 [0057]本發明實施例中DNS攻擊的防禦裝置可以針對Linux伺服器,藉助於Linux自帶防火牆框架Netfilter，註冊鉤子函數。其中，函數註冊模塊190可以使用Netfilter HOOK函數註冊模塊，用於將鉤子函數註冊到Linux內核。這樣所有網絡協議數據包都會通過註冊的鉤子處理函數以進行處理。
[0058]DNS查詢請求包判斷模塊180的判斷段條件可以是數據包是UDP包，並且目的埠是53，這是因為DNS協議運行在UDP (User Datagram Protocol，用戶數據報協議)，使用埠號53。在傳輸層TCP提供端到端可靠的服務，在UDP端提供盡力交付的服務。其控制埠作用於UDP埠 53。
[0059]請求記錄信息查詢模塊120的查找算法可以為:當獲取到DNS請求包時，將源IP位址的前三段作為哈希表的哈希值。如果該哈希值對應的節點內容為空，則分配一個數組，
包含256個結構體。數組中對應的每個結構體--對應這源IP位址第四段的訪問信息。
訪問信息可以包含有一秒內的訪問次數和具體的訪問時間。具體的算法在以下實施例中的DNS攻擊的防禦方法詳細介紹。
[0060]攻擊判斷模塊130判斷請求源IP是否超出了系統設置的限速閾值。判斷條件為，如果一秒內訪問的次數超過了閾值則將該數據包丟棄，否則向上層協議透明傳輸該請求，以進行正常處理。
[0061]資源回收模塊170，定時掃描第二索引表中的請求記錄信息，並刪除預訂時間內持續未更新的請求記錄信息。[0062]本發明實施例還提供了一種DNS攻擊的防禦方法，該DNS攻擊的防禦法可以由以上實施例介紹的任意一種DNS攻擊的裝置來執行，以提高實現精準的攻擊防禦。圖2是根據本發明一個實施例的DNS攻擊的防禦方法的示意圖，如圖所示，該實現了精確的攻擊防禦方法包括以下步驟:
[0063]步驟S202，獲取DNS查詢請求以及DNS查詢請求的請求源的IP位址；
[0064]步驟S204，按照IP位址在訪問記錄資料庫中查詢得出請求源的請求記錄信息；
[0065]步驟S206，判斷請求記錄信息中在預定周期內的請求次數是否超出了預設閾值；
[0066]步驟S208，若是，判定請求源進行DNS攻擊，並進行防禦。
[0067]其中，步驟S202可以包括:在作業系統的防火牆框架內註冊鉤子函數；利用鉤子函數捕捉DNS查詢請求。
[0068]步驟S202獲取DNS查詢請求之後還可以包括:分別判斷DNS查詢請求的數據包數據格式是否符合預定協議，以及DNS查詢請求的目的埠是否為預定埠 ；若均為是，執行查詢請求記錄信息的步驟。其中判斷依據可以為數據包是UDP包，並且目的埠是53，若不滿足該條，直接透傳數據包，不影響其他數據包的正常傳輸。
[0069]判斷依據可以根據RFC (Request For Comments,徵求修正意見書)規定的DNS格式進行判斷，例如使用以下的RFC文檔的內容進行DNS查詢請求數據包的判斷:1034域名，概念和功能；1035域名，實現和規範；1123Internet主機要求，應用和支持；1886，支持IP版本6的DNS擴展名；1995，DNS中的增量區域傳輸；1996提示通知區域更改的機制(DNS N0TIFY);2136，域名系統中的動態更新(DNS UPDATE);2181，對DNS規範的說明；2308，DNS查詢的負緩存(DNS NCACHE) ;2535，域名系統安全擴展(DNSSEC) ；2671DNS的擴展機制(EDNSO) ;2782，指定服務位置的 DNS RR (DNS SRV)。
[0070]步驟S204無法使用全IP位址映射索引表。原因為索引表的內存消耗過大:針對所用的所有IP位址，索引表將擁有4G表項，每個索引表項存儲4位元組的指向對應信息結構體指針，那麼整個內存資源消耗過大，幾乎無法實現。因此步驟S204採用高速緩存採用二級索引表，二級索引表由兩級索引組成。其中第一索引表中存儲有多個IP位址段分別對應的第二索引表的存儲指針。第二索引表中存儲有一個IP位址段中多個IP位址的請求記錄信息。例如，IP位址前三段作為一級索引，第四段作為二級索引。
[0071]步驟S204的一種流程為:按照IP位址中前三段的數值，在訪問記錄資料庫的第一索引表中查找對應的存儲指針，按照IP位址中前三段的數值對應的存儲指針讀取對應的第二索引表，然後按照IP位址的第四段的數值，在IP位址中前三段的數值對應的第二索引表中查找IP位址對應的請求記錄信息。
[0072]在第一索引表中索引值可以為IP位址的前三段數值的哈希值，索引項為IP位址段對應的第二索引表的存儲指針，則以上在訪問記錄資料庫的第一索引表中查找對應的存儲指針包括:計算IP位址中的前三段的數值的哈希值；將哈希值作為索引值在第一索引表中查找對應的存儲指針。
[0073]第一索引表中查詢出的存儲指針如果為空的情況下，需要為請求源對應的地址段建立對應的第二索引表並存儲其指針，具體流程可以為:IP位址所在的IP位址段分配存儲空間，並在存儲空間內建立包含多個結構體的數組作為第二索引表，並保存存儲空間的存儲指針；如果存儲指針不為空，則對應的第二索引表已建立，直接執行按照存儲指針讀取對應的第二索引表的步驟。
[0074]另外第二索引表中也存在沒有IP位址對應的請求記錄的情況，此時需要判斷第二索引表中是否包含IP位址對應的請求記錄信息；若否，在第二索引表中分配IP位址的存儲空間，並將DNS查詢請求的信息保存為請求記錄信息；若是，在IP位址對應的請求記錄信息中添加DNS查詢請求的信息，以對請求記錄信息進行更新。
[0075]為節省存儲空間，還可以定期掃描第二索引表中的請求記錄信息，並刪除預訂時間內持續未更新的請求記錄信息。
[0076]一級索引最大值是0XFFFFFF，即索引範圍是0X00到0XFFFFFF，步長固定，索引項存儲指針。第二段索引最大值是0XFF，即索引範圍是0X00到0XFF，步長固定，索引項存儲本計數周期開始的時間和本周期訪問次數。為了節省內存，一級索引存儲指針預先分配，二級索引動態分配，即只有該項對應的IP位址訪問才分配內存。
[0077]圖3是根據本發明一個實施例的DNS攻擊的防禦方法中二級索引結構的示意圖，當有IP位址訪問時，直接根據IP位址前段定位到一級索引項；如果索引項的存儲指針為空，分配二級索引項的存儲空間。根據IP位址第四段，定位二級索引項，並將計數周期開始時間，設置為當前時間，本周期訪問次數設為I。
[0078]如果索引項指針不為空，根據IP位址第四段數值定位二級索引項。根據計數周期開始時間，判斷本周期的請求次數是否超出限值，如果計數周期超出限值，設置為當前時間，本周起訪問次數設為1，該數據包放行；如果計數周期沒有超出，本周期訪問次數加I。從而根據本周期訪問次數判斷，該IP位址訪問次數是否超速，如果本周期訪問次數大於最大限制次數認為超速，該數據包直接丟棄，否則放行。一般而言，預定周期可以設置為一秒，若一秒內的請求次數超過限值，則自動進行屏蔽，也就是忽略了超過限值的DNS查詢請求。
[0079]在步驟S208之後，還可以向請求源的客戶端返回DNS請求異常的信息，以便客戶端進行提示或處理。客戶端可以在安全建議顯示區域輸出請求源的攻擊檢測結果，顯示的方式是在類似於安全衛士之類的網際網路軟體顯示界面中的安全隱患部分輸出，類似地，還可以通過彈出氣泡、對話框等方式顯示。
[0080]圖4是根據本發明一個實施例的DNS攻擊的防禦方法的一種流程圖，伺服器的網卡接收到數據流量，首先判斷數據包是否為UDP數據包以及目的埠是否為53，若均為是，確定數據包為DNS數據包後，進行請求源IP解析，按照請求源的IP位址進行兩級索引查詢，查找出IP位址的請求記錄信息，並判斷周期內的IP位址的請求次數是否超過閾值，即判斷請求是否超速，如果超速，丟棄該IP位址的DNS查詢請求，若未超速，將DNS查詢請求透傳給上層協議棧進行處理。
[0081]本實施例中的防禦方法和防禦裝置可以集成於類似於安全衛士的網際網路安全軟體中，與安全中心的雲端伺服器數據連接，及時發現並上報可疑DNS，減小惡意DNS對網絡
的侵害。
[0082]圖5是根據本發明一個實施例的DNS系統的系統架構圖，該DNS系統提供了高可靠、高防護、高性能的域名解析服務。當頂級伺服器、根域伺服器或授權伺服器遭遇攻擊或故障時，本實施例的DNS系統可啟動災備緊急應答模式，保障網際網路在根域伺服器或授權伺服器修復之前基本正常運行，為系統搶修和恢復留下足夠的時間。與客戶端的安全衛士聯動，可以第一時間提示用戶，並幫助用戶使用安全DNS進行域名解析，並能在故障解除之後迅速將用戶的DNS恢復為故障前設置。
[0083]在本實施例中的DNS系統包括有一個或多個DNS安全伺服器(如圖中設置於北京電信、上海電信、上海聯通、北京聯通中的DNS伺服器)，分別用於對用戶客戶端的發出的DNS解析請求進行域名解析，在每臺DNS安全伺服器中設置有上述任一種實施例中介紹的DNS攻擊的防禦裝置。在如圖5所示的DNS系統架構中，當上海電信、北京電信、上海聯通以及北京聯通的用戶在使用網絡服務時，在DNS安全伺服器設置有DNS攻擊的防禦裝置，該防禦裝置獲取DNS查詢請求以及DNS查詢請求的請求源的IP位址；按照IP位址在訪問記錄資料庫中查詢得出請求源的請求記錄信息；判斷請求記錄信息中在預定周期內的請求次數是否超出了預設閾值；若是，判定請求源進行DNS攻擊，並進行防禦。防禦方法可以使用直接過濾超速的DNS請求，或者結合用戶客戶端中安裝的安全衛士等軟體，進行安全防護和提示，例如用戶客戶端在安全建議顯示區域輸出提示信息或將DNS伺服器地址修改為預設的安全地址。
[0084]DNS安全伺服器通過使用一個高速緩存，採用緩存存取優化、預更新等各種手段儘量降低了解析時延，實現了高速安全解析。當某一個IP請求源的流量異常突增時，DNS攻擊的防禦裝置自動分析和安全聯動措施，對該IP的DNS解析請求源限速。通過DNS攻擊的防禦裝置驗證的DNS解析請求，可以直接通過RCS集群和災備系統進行後續處理。
[0085]需要說明的是，本例中提及的上海電信、北京電信、上海聯通以及北京聯通僅用作示例，並不對實際操作中的用戶來源形成限定。本發明的防禦方法和防禦裝置還可以在檢測出攻擊的攻擊源後，結合檢測可疑DNS的方法通過對比已知DNS和待檢測的目標DNS對常用域名的解析結果，在待檢測的目標DNS的解析結果明顯不同於已知DNS的解析結果時，將目標DNS標記為可疑DNS。可以簡單迅速地確定出將域名解析成未知結果的DNS，為進一步分析和處理提供了基礎。
[0086]在此處所提供的說明書中，說明了大量具體細節。然而，能夠理解，本發明的實施例可以在沒有這些具體細節的情況下實踐。在一些實例中，並未詳細示出公知的方法、結構和技術，以便不模糊對本說明書的理解。
[0087]類似地，應當理解，為了精簡本公開並幫助理解各個發明方面中的一個或多個，在上面對本發明的示例性實施例的描述中，本發明的各個特徵有時被一起分組到單個實施例、圖、或者對其的描述中。然而，並不應將該公開的方法解釋成反映如下意圖:即所要求保護的本發明要求比在每個權利要求中所明確記載的特徵更多的特徵。更確切地說，如下面的權利要求書所反映的那樣，發明方面在於少於前面公開的單個實施例的所有特徵。因此，遵循【具體實施方式】的權利要求書由此明確地併入該【具體實施方式】，其中每個權利要求本身都作為本發明的單獨實施例。
[0088]本領域那些技術人員可以理解，可以對實施例中的設備中的模塊進行自適應性地改變並且把它們設置在與該實施例不同的一個或多個設備中。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件，以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特徵和/或過程或者單元中的至少一些是相互排斥之外，可以採用任何組合對本說明書(包括伴隨的權利要求、摘要和附圖)中公開的所有特徵以及如此公開的任何方法或者設備的所有過程或單元進行組合。除非另外明確陳述，本說明書(包括伴隨的權利要求、摘要和附圖)中公開的每個特徵可以由提供相同、等同或相似目的的替代特徵來代替。
[0089]此外，本領域的技術人員能夠理解，儘管在此所述的一些實施例包括其它實施例中所包括的某些特徵而不是其它特徵，但是不同實施例的特徵的組合意味著處於本發明的範圍之內並且形成不同的實施例。例如，在權利要求書中，所要求保護的實施例的任意之一都可以以任意的組合方式來使用。
[0090]本發明的各個部件實施例可以以硬體實現，或者以在一個或者多個處理器上運行的軟體模塊實現，或者以它們的組合實現。本領域的技術人員應當理解，可以在實踐中使用微處理器或者數位訊號處理器(DSP)來實現根據本發明實施例的DNS攻擊的防禦裝置中的一些或者全部部件的一些或者全部功能。本發明還可以實現為用於執行這裡所描述的方法的一部分或者全部的設備或者裝置程序(例如，電腦程式和電腦程式產品)。這樣的實現本發明的程序可以存儲在計算機可讀介質上，或者可以具有一個或者多個信號的形式。這樣的信號可以從網際網路網站上下載得到，或者在載體信號上提供，或者以任何其他形式提供。
[0091]應該注意的是上述實施例對本發明進行說明而不是對本發明進行限制，並且本領域技術人員在不脫離所附權利要求的範圍的情況下可設計出替換實施例。在權利要求中，不應將位於括號之間的任何參考符號構造成對權利要求的限制。單詞「包含」不排除存在未列在權利要求中的元件或步驟。位於元件之前的單詞「一」或「一個」不排除存在多個這樣的元件。本發明可以藉助於包括有若干不同元件的硬體以及藉助於適當編程的計算機來實現。在列舉了若干裝置的單元權利要求中，這些裝置中的若干個可以是通過同一個硬體項來具體體現。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為名稱。
[0092]至此，本領域技術人員應認識到，雖然本文已詳盡示出和描述了本發明的多個示例性實施例，但是，在不脫離本發明精神和範圍的情況下，仍可根據本發明公開的內容直接確定或推導出符合本發明原理的許多其他變型或修改。因此，本發明的範圍應被理解和認定為覆蓋了所有這些其他變型或修改。
[0093]本發明提供了 Al.—種DNS攻擊的防禦方法，包括:
[0094]獲取DNS查詢請求以及所述DNS查詢請求的請求源的IP位址；
[0095]按照所述IP位址在訪問記錄資料庫中查詢得出所述請求源的請求記錄信息；
[0096]判斷所述請求記錄信息中預定周期內的請求次數是否超出了預設閾值；
[0097]若是，判定所述請求源進行DNS攻擊，並進行防禦。
[0098]A2.根據Al所述的方法，其中，獲取DNS查詢請求包括:
[0099]在作業系統的防火牆框架內註冊鉤子函數；
[0100]利用所述鉤子函數捕捉所述DNS查詢請求。
[0101]A3.根據Al所述的方法，其中，在獲取DNS查詢請求之後還包括:
[0102]分別判斷所述DNS查詢請求的數據包數據格式是否符合預定協議，以及所述DNS查詢請求的目的埠是否為預定埠 ；
[0103]若均為是，執行查詢所述請求記錄信息的步驟。
[0104]A4.根據Al至A3中任一項所述的方法，其中，按照所述IP位址在訪問記錄資料庫中查詢得出所述請求源在預定周期內的請求記錄信息包括:[0105]按照所述IP位址中前三段的數值，在所述訪問記錄資料庫的第一索引表中查找對應的存儲指針，其中所述第一索引表中存儲有多個IP位址段分別對應的第二索引表的存儲指針；
[0106]按照所述IP位址中前三段的數值對應的存儲指針讀取對應的第二索引表，所述第二索引表中存儲有一個IP位址段中多個IP位址的請求記錄信息；
[0107]按照所述IP位址的第四段的數值，在所述IP位址中前三段的數值對應的所述第二索引表中查找所述IP位址對應的請求記錄信息。
[0108]A5.根據A4所述的方法，其中，
[0109]在所述第一索引表中，索引值為IP位址的前三段數值的哈希值,索引項為所述IP位址段對應的第二索引表的存儲指針，
[0110]在所述訪問記錄資料庫的第一索引表中查找對應的存儲指針包括:
[0111]計算所述IP位址中的前三段的數值的哈希值；
[0112]將所述哈希值作為索引值在所述第一索引表中查找對應的存儲指針。
[0113]A6.根據A4所述的方法，其中，按照所述IP位址中前三段的數值，在所述訪問記錄資料庫的第一索引表中查找對應的存儲指針之後還包括:
[0114]判斷所述存儲指針是否為空；
[0115]若是，為所述IP位址所在的IP位址段分配存儲空間，並在所述存儲空間內建立包含多個結構體的數組作為第二索引表，並保存所述存儲空間的存儲指針；
[0116]若否，執行按照所述存儲指針讀取對應的第二索引表的步驟。
[0117]A7.根據A4所述的方法，其中，按照所述IP位址的第四段的數值，在所述IP位址中前三段的數值對應的所述第二索引表中查找所述IP位址對應的請求記錄信息之後還包括:
[0118]判斷所述第二索引表中是否包含所述IP位址對應的請求記錄信息；
[0119]若否，在所述第二索引表中分配所述IP位址的存儲空間，並將所述DNS查詢請求的信息保存為請求記錄信息；
[0120]若是，在所述IP位址對應的請求記錄信息中添加所述DNS查詢請求的信息，以對所述請求記錄信息進行更新。
[0121]AS.根據A7所述的方法，其中在判斷所述第二索引表中是否包含所述IP位址對應的請求記錄信息之後還包括:
[0122]掃描所述第二索引表中的請求記錄信息，並刪除預訂時間內持續未更新的請求記錄/[目息。
[0123]A9.根據Al至AS中任一項所述的方法，其中，在判定所述請求源進行DNS攻擊之後還包括:
[0124]向所述請求源的客戶端返回DNS請求異常的信息，以便所述客戶端進行提示或處理。
[0125]本發明還提供了 B10.—種DNS攻擊的防禦裝置，包括:
[0126]請求獲取模塊，用於獲取DNS查詢請求以及所述DNS查詢請求的請求源的IP位址；
[0127]請求記錄信息查詢模塊，用於按照所述IP位址在訪問記錄資料庫中查詢得出所述請求源的請求記錄信息；
[0128]攻擊判斷模塊，用於判斷所述請求記錄信息記錄中在預定周期內的請求次數是否超出了預設閾值；
[0129]防禦模塊，用於在所述攻擊判斷模塊的判斷結果為是的情況下，判定所述請求源進行DNS攻擊，並進行防禦。
[0130]Bll.根據BlO所述的裝置，還包括:
[0131]函數註冊模塊，用於在作業系統的防火牆框架內註冊鉤子函數；
[0132]所述請求獲取模塊還被配置為:利用所述鉤子函數捕捉所述DNS查詢請求。
[0133]B12.根據BlO所述的裝置，還包括:
[0134]DNS查詢請求包判斷模塊，用於分別判斷所述DNS查詢請求的數據包數據格式是否符合預定協議，以及所述DNS查詢請求的目的埠是否為預定埠 ；
[0135]請求記錄信息查詢模塊還被配置為:如果DNS查詢請求包判斷模塊的判斷結果均為是，執行查詢所述請求記錄信息的步驟。
[0136]B13.根據BlO至B12中任一項所述的裝置，其中，所述請求記錄信息查詢模塊包括:
[0137]第一索引表查詢子模塊，用於按照所述IP位址中前三段的數值在所述訪問記錄資料庫的第一索引表中查找對應的存儲指針，其中所述第一索引表中存儲有多個IP位址段分別對應的第二索引表的存儲指針；
[0138]第二索引表查詢子模塊，用於按照所述IP位址中前三段的數值對應的存儲指針讀取對應的第二索引表，並按照所述IP位址的第四段的數值在所述IP位址中前三段的數值對應的所述第二索引表中查找所述IP位址對應的請求記錄信息，所述第二索引表中存儲有一個IP位址段中多個IP位址的請求記錄信息。
[0139]B14.根據B13所述的裝置，還包括:
[0140]第一索引表更新模塊，用於判斷所述第一索引表查詢子模塊查詢出的存儲指針是否為空；若是，為所述IP位址所在的IP位址段分配存儲空間，並在所述存儲空間內建立包含多個結構體的數組作為第二索引表，並保存所述存儲空間的存儲指針。
[0141]B15.根據B13所述的裝置，還包括:
[0142]第二索引表更新模塊，用於判斷所述第二索引表中是否包含所述IP位址對應的請求記錄信息；若否，在所述第二索引表中分配所述IP位址的存儲空間，並將所述DNS查詢請求的信息保存為請求記錄信息；若是，在所述IP位址對應的請求記錄信息中添加所述DNS查詢請求的信息，以對所述請求記錄信息進行更新。
[0143]B16.根據B15所述的裝置，還包括:
[0144]資源回收模塊，用於掃描所述第二索引表中的請求記錄信息，並刪除預訂時間內持續未更新的請求記錄信息。
[0145]B17.根據BlO至B16中任一項所述的裝置，還包括:
[0146]攻擊提示模塊，用於向所述請求源的客戶端返回DNS請求異常的信息，以便所述客戶端進行提示或處理。
[0147]本發明還提供了 C18.—種DNS系統,包括:
[0148]至少一臺DNS安全伺服器，用於根據用戶請求進行域名解析，DNS安全伺服器中設置有根據BlO至B17中任一項所述的DNS攻擊的防禦裝置。
[0149]C19.根據C18所述的DNS系統，還包括:
[0150]用戶客戶端，配置為接收所述DNS攻擊的防禦裝置下發的DNS請求異常的信息，並在安全建議顯示區域輸出提示信息和/或將DNS伺服器地址修改為預設的安全地址。
【權利要求】
1.一種DNS攻擊的防禦方法，包括: 獲取DNS查詢請求以及所述DNS查詢請求的請求源的IP位址； 按照所述IP位址在訪問記錄資料庫中查詢得出所述請求源的請求記錄信息； 判斷所述請求記錄信息中預定周期內的請求次數是否超出了預設閾值； 若是，判定所述請求源進行DNS攻擊，並進行防禦。
2.根據權利要求1所述的方法,其中，獲取DNS查詢請求包括: 在作業系統的防火牆框架內註冊鉤子函數； 利用所述鉤子函數捕捉所述DNS查詢請求。
3.根據權利要求1所述的方法，其中，在獲取DNS查詢請求之後還包括: 分別判斷所述DNS查詢請求的數據包數據格式是否符合預定協議，以及所述DNS查詢請求的目的埠是否為預定埠； 若均為是，執行查詢所述請求記錄信息的步驟。
4.根據權利要求1至3中任一項所述的方法，其中，按照所述IP位址在訪問記錄資料庫中查詢得出所述請求源在預定周期內的請求記錄信息包括: 按照所述IP位址中前三段的數值，在所述訪問記錄資料庫的第一索引表中查找對應的存儲指針，其中所述第一索引表中存儲有多個IP位址段分別對應的第二索引表的存儲指針； 按照所述IP位址中前三段的數值對應的存儲指針讀取對應的第二索引表，所述第二索引表中存儲有一個IP位址段中多個IP位址的請求記錄信息； 按照所述IP位址的第四段的數值，在所述IP位址中前三段的數值對應的所述第二索引表中查找所述IP位址對應的請求記錄信息。
5.根據權利要求4所述的方法，其中， 在所述第一索引表中，索引值為IP位址的前三段數值的哈希值，索引項為所述IP位址段對應的第二索引表的存儲指針， 在所述訪問記錄資料庫的第一索引表中查找對應的存儲指針包括: 計算所述IP位址中的前三段的數值的哈希值； 將所述哈希值作為索引值在所述第一索引表中查找對應的存儲指針。
6.根據權利要求4所述的方法，其中，按照所述IP位址中前三段的數值，在所述訪問記錄資料庫的第一索引表中查找對應的存儲指針之後還包括: 判斷所述存儲指針是否為空； 若是，為所述IP位址所在的IP位址段分配存儲空間，並在所述存儲空間內建立包含多個結構體的數組作為第二索引表，並保存所述存儲空間的存儲指針； 若否，執行按照所述存儲指針讀取對應的第二索引表的步驟。
7.根據權利要求4所述的方法，其中，按照所述IP位址的第四段的數值，在所述IP位址中前三段的數值對應的所述第二索引表中查找所述IP位址對應的請求記錄信息之後還包括: 判斷所述第二索引表中是否包含所述IP位址對應的請求記錄信息； 若否，在所述第二索引表中分配所述IP位址的存儲空間，並將所述DNS查詢請求的信息保存為請求記錄信息；若是，在所述IP位址對應的請求記錄信息中添加所述DNS查詢請求的信息，以對所述請求記錄信息進行更新。
8.根據權利要求7所述的方法，其中在判斷所述第二索引表中是否包含所述IP位址對應的請求記錄信息之後還包括: 掃描所述第二索引表中的請求記錄信息，並刪除預訂時間內持續未更新的請求記錄信息。
9.一種DNS攻擊的防禦裝置，包括: 請求獲取模塊，用於獲取DNS查詢請求以及所述DNS查詢請求的請求源的IP位址；請求記錄信息查詢模塊，用於按照所述IP位址在訪問記錄資料庫中查詢得出所述請求源的請求記錄信息； 攻擊判斷模塊，用於判斷所述請求記錄信息記錄中在預定周期內的請求次數是否超出了預設閾值； 防禦模塊，用於在所述攻擊判斷模塊的判斷結果為是的情況下，判定所述請求源進行DNS攻擊，並進行防禦。
10.一種DNS系統,包括: 至少一臺DNS安全伺服器，用於根據用戶請求進行域名解析，DNS安全伺服器中設置有根據權利要求9所述的DNS攻擊的防禦裝置。
【文檔編號】H04L29/06GK103957195SQ201410136693
【公開日】2014年7月30日 申請日期:2014年4月4日 優先權日:2014年4月4日
【發明者】濮燦 申請人:上海聚流軟體科技有限公司